15.12.2005, 18:19 Uhr
Smartcard- Management und PKI
Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.
Frage:
Wir möchten Verschlüsselung und Authentisierung auf Basis von Public-Key-Verfahren implementieren. Für wenige Mitarbeiter soll es auch möglich sein, Dokumente rechtsgültig zu unterschreiben. Die Smartcard soll dabei auch als Personalausweis nutzbar sein. Welche Möglichkeiten gibt es?
Immer mehr Unternehmen möchten die logischen und die physischen Sicherheitsanforderungen auf einem Sicherheitselement und einem Managementsystem abstützen. Die Anforderungen, die an ein Lifecycle-Management gestellt werden, besagen, dass ein Schlüssel ausschliesslich für die mit dem spezifischen Schlüssel verbundenen Sicherheitsdienste (verschlüsseln, authentisieren und signieren) bestimmt sein muss.
Mit der Verschlüsselung von Daten und Dokumenten kann die Vertraulichkeit der Informationen gewährleistet werden. Es nützt aber nichts, wenn nicht gleichzeitig auch die Verfügbarkeit der Informationen sichergestellt wer-den kann. Das bedeutet, dass die Encryption-Keys in einer sicheren Umgebung aufbewahrt werden müssen und dass man sie bei Bedarf wieder zurückgewinnen kann. Der Authentisierungsschlüssel dient der Identifikation einer Instanz (Person, Maschine). Hier ist die Einmaligkeit des Schlüssels eine Voraussetzung für die sichere Authentisierung. Es kann aber unter Umständen sinnvoll sein, eine Kopie des Authentisierungsschlüssels zu erstellen - zum Beispiel als Duplikat für mobile Benutzer. Dieser Schlüssel kann auch für das Sig-nieren von E-Mails verwendet werden, geht es doch in erster Linie da-rum, die Authentizität des Absenders und die Integrität der Informationen überprüfbar zu machen.
Mit der Verschlüsselung von Daten und Dokumenten kann die Vertraulichkeit der Informationen gewährleistet werden. Es nützt aber nichts, wenn nicht gleichzeitig auch die Verfügbarkeit der Informationen sichergestellt wer-den kann. Das bedeutet, dass die Encryption-Keys in einer sicheren Umgebung aufbewahrt werden müssen und dass man sie bei Bedarf wieder zurückgewinnen kann. Der Authentisierungsschlüssel dient der Identifikation einer Instanz (Person, Maschine). Hier ist die Einmaligkeit des Schlüssels eine Voraussetzung für die sichere Authentisierung. Es kann aber unter Umständen sinnvoll sein, eine Kopie des Authentisierungsschlüssels zu erstellen - zum Beispiel als Duplikat für mobile Benutzer. Dieser Schlüssel kann auch für das Sig-nieren von E-Mails verwendet werden, geht es doch in erster Linie da-rum, die Authentizität des Absenders und die Integrität der Informationen überprüfbar zu machen.
Demgegenüber schreibt das Signaturgesetz vor, dass ein Sig-naturschlüssel einmalig sein muss und unter keinen Umständen kopiert werden darf. Signaturschlüssel werden deshalb meist direkt auf der Karte erzeugt. Damit die digitale Signatur rechtsgültig anerkannt wird, muss der Schlüssel nach einer genau definierten Prozedur, mit der der Eigentümer des Schlüssels eindeutig identifiziert werden kann, zertifiziert werden. Zusätzlich müssen die Zertifikate von anerkannten Stellen ausgestellt werden. Es ist nicht möglich, diese unterschiedlichen Anforderungen durch eine CA (Certification Authority) abzudecken. Das richtige Konzept ist, die passende CA für die entsprechende Anwendung zu finden. Als gemeinsames Sicherheitselement dafür dient die Smartcard. Im Smartcard-Management-System sind alle Informationen registriert. Mit dieser zentralen Funktionseinheit können die Benutzer während des gesamten Smartcard-Lifecy-cles unterstützt werden. Aus Sicht der CA bildet das Smartcard-Management-System die Registration Authority (RA), mit der die Karten personalisiert werden und die Verteilung organisiert wird. State-of-the-Art Smartcard-Management-Systeme sind in der Lage, unterschiedliche CAs einzubinden und über offene Protokolle zu kommunizieren.